Home > Quick Wins > Cierra los puertos riesgosos de administración abiertos en Security Groups

Cierra los puertos riesgosos de administración abiertos en Security Groups

NOTA: La versión en Inglés cuenta con algunas actualizaciones que aún no se reflejaron en la versión en español.

Cierre los puertos administrativos abiertos para todos.

Cierre el acceso de entrada de los grupos de seguridad a los puertos de administración (SSH: 22 y RDP: 3389) que no estén restringidos (0.0.0.0/0). Coordine con los equipos de TI que utilizan estos puertos para encontrar métodos alternativos (ver más abajo) para garantizar que puedan continuar las operaciones.

Método recomendado para administrar instancias.

Recomendamos usar AWS Systems Manager Fleet Manager , que no requiere la apertura de puertos de entrada ni el uso de bastiones. Requiere un agente SSM preinstalado en muchas AMI administradas por AWS y un rol (EC2 Instance Profile) con AmazonSSMManagedEC2InstanceDefaultPolicy

Si no puede usar SSM Fleet Manager, considere usar EC2 Instance Connect o al menos restringir las IPs que pueden acceder a los puertos de administración.

Cómo comprobarlo

Estándares de seguridad de AWS Security Hub: (Recomendado: QuickWin)
[EC2.13] Los grupos de seguridad no deben permitir el ingreso desde 0.0.0.0/0 o ::/0 al puerto 22
[EC2.14] Los grupos de seguridad no deben permitir el ingreso desde 0.0.0.0/0 o ::/0 al puerto 3389
AWS Firewall Manager
Este servicio ofrece más flexibilidad y opciones adicionales (con un costo adicional).

Mitigación de riesgos

Permitir el acceso de entrada sin restricciones a los puertos de administración (22 y 3389) es un riesgo importante, ya que a menudo los hosts no cuentan con los parches y las protecciones adecuadas, los adversarios podrían intentar aprovechar una vulnerabilidad para acceder y tomar el control, o podrían lograr el acceso a través de ataques de SSH y RDP Fuerza Bruta .

Guía para evaluar su grado de alineación

¿Está permitiendo el acceso de entrada sin restricciones a los puertos de administración (22/3389)? Si no está seguro de poder aprovechar los controles de AWS Security Hub EC2.13 y EC2.14
¿Cómo está administrando el acceso de red administrativa a sus instancias?

Precios

Grupos de seguridad: sin costo adicional.

AWS Security Hub: https://aws.amazon.com/security-hub/pricing
El servicio tiene un período de prueba de 30 días (prueba gratuita)
El servicio tiene un sitio para verificar el uso actual y estimar el uso futuro.

AWS Firewall Manager: https://aws.amazon.com/firewall-manager/pricing/